EASY7

DeepLink 모바일 웹 상에 있는 링크나 그림을 클릭할 경우 기기 내 관련 앱이나 사전에 정의된 특정 웹페이지가 실행되는 모바일 기술 웹에서 사용되는 http://, https://와는 다르게 모바일 어플리케이션마다 각자 생성한 프로토콜을 사용하고 있어 검증이 미흡한 경우 취약점이 발생함 딥링크 예시 : schema://host.name/path/to/endpoint? DeepLink 취약점 1. 모바일 어플리케이션마다 개별적으로 생성한 딥링크의 검증 부재로 인해 공격자가 조작한 악성 URL 링크에 접속할 수 있음 2. 관련 앱 자바 스크립트가 권한 인증 없이 자동으로 실행되어 의도치않은 악성 URL에 접속하고 어플리케이션 내 민감한 개인정보가 공격자에게 노출됨 DeepLink 취약점 조치 방안 1...

Scapy를 이용해서 8.8.8.8로 ICMP 패킷을 생성하여 전달하는 테스트를 했다. sr()은 여러개의 패킷을 담을 수 있고 그래서 show()로 보지 못한다. sr1()은 단일 패킷만 담는다. import sys from scapy.all import sr1, IP, ICMP r = sr1(IP(dst='8.8.8.8')/ICMP()/'HelloWorld') r.show() wireshark를 통해 scapy가 보낸 패킷을 확인해보았다. 내IP->8.8.8.8 패킷 body에 'HelloWorld'가 있고, 8.8.8.8->내IP 패킷 body에도 'HelloWorld'가 있다. 출처 : https://scapy.readthedocs.io/en/latest/extending.html?highligh..

Scapy의 arp 모듈을 이용해서 같은 네트워크 망에서 Mac 주소를 확인할 수 있다. 192.168.35.1/24 대역대에 패킷을 보낸다. 어떤 패킷을 보내는지 wireshark로 확인해보았다. 다름이 아닌 0~255까지 Broadcast를 보내는 것이다. import scapy.layers.l2 import time net ='192.168.35.1/24' ans, noans = scapy.layers.l2.arping(net, timeout=1, verbose=True) while True: for sent, recieved in ans.res: ip = recieved.psrc mac = recieved.hwsrc print('%s\t%s' % (ip, mac)) time.sleep(0.2) 아..

메모리 분석기법 이용해야 합니다. EPROCESS쪽 공부하시고 Volatility 쪽 보시면 좋을 것 같네요 예 이름 있죠. EProcess쪽 공부하셔야지 알것 같네요. DKOM이랑요 직접 커널 객체 조작 (DKOM : Direct Kernel Object Manipulation)은 써드 파티 프로세스, 드라이버, 파일에 대한 잠재적인 손상 및 중계 연결을 작업 관리자와 이벤트 스케줄러로부터 숨기는데 사용되는 일반적인 루트킷 기법이다. 프로세스를 은닉하는 방법 https://github.com/thibaultmeyer/deadlands-windows-dkom GitHub - thibaultmeyer/deadlands-windows-dkom: Windows DKOM : Hide Processus Windo..

조회 : cmd 관리자 > WMIC > csproduct get uuid https://zetawiki.com/wiki/%EC%9C%88%EB%8F%84%EC%9A%B0_%EC%8B%9C%EC%8A%A4%ED%85%9C_UUID_%ED%99%95%EC%9D%B8 새로운 uuid 생성 : C:\Users\User>powershell -Command "[guid]::NewGuid().ToString()" https://developer-joe.tistory.com/188 변경 : https://zelda.tistory.com/entry/VirtualBox-UUID-%EC%A4%91%EB%B3%B5%EC%8B%9C

/etc/httpd/conf/httpd.conf 파일 수정 후 systemctl restart httpd 하기 디렉터리 리스팅 취약점과 심볼릭 링크 사용 취약점 -Indexes -FollowSymLinks 로 수정해주기 헤더 정보 최소화 httpd.conf 에 default로는 ServerTokens 지시자가 없음. 만들어야함. Full은 설치된 응용프로그램이 없어서 그런지 OS랑 똑같이 나왔다.

sudo 명령 sudo 명령은 다른 사용자 계정(root 포함) 권한으로 명령어르 실행하고자 할 때 사용하는 명령어이다. superuser do, substitute user do 등의 약자로 알려져있다. su 명령은 root의 비밀번호를 알려줘야 한다는 부담감이 있으며 최소 권한의 원칙에 따라 root 로그인을 차단하는 것이 좋다. sudo 명령을 사용하여 제한적으로 관리자 권한의 명령을 실행하도록 하는 점에서 sudo를 권장한다. sudo 명령의 설정 파일 : /etc/sudoers sudoers 설정 파일 아래와 같이 사용할 수 있다. 파일 맨 위에 규칙을 적으면 된다. 상단부터 규칙 우선 적용된다. 주의사항으로 밑에 글자들도 파일을 위해 필수적이니 지우지 않는 것이다. 다 지웠다가 복구하느라 힘들..

PAM PAM 모듈이란, Pluggable Authentication Modules의 약어로 리눅스 PAM은 리눅스 또는 GNU/kFreeBSD 시스템에서 애플리케이션과 서비스에 대한 동적 인증을 제공한다. '팸'이라고 발음한다. requsite : 해당 인증 실패 시 바로 인증 거부 required : 해당 인증 실패 시 다음 모듈 인증 후 거부 sufficient : 해당 인증 성공 시 다른 아래 인증들 상관 없이 인증 성공(빨간 네모 성공 시 노랑 네모 상관 없이 인증 성공) optional : 해당 인증 결과 무시 PAM을 공부하기에 정말 좋은 유튜브를 찾았다. 이 수업을 들었다면 난 진작에 보안기사를 손에 얻었을 것이다.. - 이론 수업 https://www.youtube.com/watch?v=..